2023年4月14日

この時期、ご異動や新メンバーの加入等で自社サイトやセキュリティ担当を任された方向けに、ぜひ最初にご確認いただきたいセキュリティ設定をまとめたチェックリストをご紹介いたします。

制作ベンダー様へご確認

  1. 何らかの更新システムは導入されているか
  2. 導入されている更新システムのバージョンを確認

WordPress(ワードプレス)、またはEC-CUBE(イーシーキューブ)が導入されている場合

  1. セキュリティ更新が漏れずに適用されているか
  2. セキュリティ更新が自動的に適用される設定になっているか
  3. 導入されている拡張機能(以降「プラグイン」と呼びます)の更新が自動的に適用される設定になっているか
  4. 現状、使用していないプラグインがないか
  5. 更新が自動的に適用される設定になっているか
  6. 自社用と制作ベンダー様用のアカウントは分かれているか
  7. アカウントに設定されたパスワードは推測しにくい文字列か(再設定を推奨)
  • 更新(アップデート)には脆弱性の補修が含まれていることが多く、未適用の場合、この脆弱性を狙った不正アクセスの標的になります。
  • 前任者が不正にログインしてしまうことを避けるために、アカウントのパスワードは引き継いだ際に変更されることを弊社では推奨しております。

お問い合わせフォーム等、メールフォームがある場合

  1. 問い合わせ情報は、サーバーに格納される仕様か
  2. 格納されている場合、個人を特定する情報は含まれているか
  3. 格納されている場合、一定周期で削除する運用ルールはあるか

制作ベンダー様、または社内で把握されている方へご確認

  1. 利用中のWebサーバーの機能に「WAF(ワフ=不正アクセス抑制機能)」はあるか
  2. 「WAF」機能が搭載されている場合、機能は有効な状態にあるか
  3. アクセス計測機能(Google アナリティクス等)は導入されているか
  4. アクセス計測機能を導入済みの場合、プライバシーポリシーページ等に、計測機能を利用している旨は記載されているか
  • 4番、5番の自動更新設定が有効ではない状態で「WAF」機能が無いサーバーを利用されていた場合、手動更新するまで脆弱性は無防備にさらされ、不正アクセスの標的になります。
  • Google アナリティクスを導入しているにも関わらず、同ツールの利用をサイト上で明記していない場合、Google アナリティクスの利用規約違反になります。

WordPress(ワードプレス)やEC-CUBE(イーシーキューブ)といった更新システムは、プログラムやシステムに詳しくない方でも導入・運用が可能な反面、設定状況によっては、不正アクセスによる情報漏洩や改ざん被害のリスクが高くなってしまいます。
ご自身が担当される前に、設定状況の把握を通じて、リスク度合いを確認しておくことをおすすめしております。

なお、制作ベンダー様へのご連絡、ご対応が困難な場合、弊社でもご相談を承っております。
対象のアドレス(URL)とともに、お気軽にご相談ください。

Webサイト セキュリティのことで、お困りではありませんか?

セキュリティサービスを提供できるWeb制作会社は多くありませんが、サンエイは数少ない企業の一社。
多くの中小企業様では、サイバー攻撃から情報やWebサイトを守るための効果的な対策や専門的な知識をお持ちではありません。
私たちはお客様に代わり、お客様の運営されるWebサイトを手頃な費用で保護する仕組みをご提供することができます。
お困りのことがあればお気軽にご相談ください。